Анализ исходного кода

Анализ кода программного продукта методами статического и динамического анализа проводится на этапе разработки ПО, до момента ввода готового продукта в эксплуатацию.

Варианты анализа кода

SAST (Static Application Security Testing) — статический анализ кода. Проверка кода на уязвимости осуществляется без запуска самого приложения. Статический анализ используется в качестве базовой проверки, этому активно применяется для соответствия руководящим документам, требованиям и стандартам в рамках оценки уязвимости приложений. Наибольшее количество сканеров исходного кода реализуют именно статический анализ исходного кода.

DAST (Dynamic Application Security Testing) — динамический анализ кода. Проверка кода на уязвимости осуществляется после запуска приложения.

IAST (Interactive Application Security Testing) — интерактивное тестирование безопасности приложений. Комбинированный вариант статического и динамического анализа приложений. Анализ происходит в режиме реального времени.

RASP (Run-time Application Security Protection) — защита безопасности приложений во время выполнения. Не совсем вариант тестирования, скорее средство безопасности.

Жизненный цикл безопасной разработки. Security Development Lifecycle

SDL или жизненный цикл безопасной разработки — это набор практик и отдельный процесс внутри процесса разработки программных продуктов, направленный на повышение безопасности. Применяется компаниями-разработчиками софта, как подход к разработке безопасных приложений. Включает в себя такие элементы как:

1. обучение команды разработчиков
2. проведение периодических тестирований кода в ходе процесса разработки
3. подготовку отчетности по анализу кода
4. другие действия связанные с анализом безопасности разрабатываемого программного продукта или системы

Сканеры исходного кода

Анализаторы исходного кода применяются как основной или вспомогательный инструмент (при ручном анализе кода), выявляют ошибки в исходном коде и готовом программном продукте, допущенные в процессе написания программного кода, которые могут привести к появлению уязвимостей и последующему взлому информационных систем.

Примеры сканеров кода

• Attack Killer Appercut
• PT Application Inspector
• Solar appScreener
• SafeERP Code Security
• CheckMarx Static Code Analysis

При аудите исходного кода, особенно при анализе больших продуктов использование программных анализаторов исходного кода неизбежно, это позволяет сократить время на поиск уязвимостей. Однако это не исключается обязательный ручной или экспертный анализ кода.

Экспертный или ручной анализ кода

После проверки кода программного обеспечения сканером, образуется некоторое количество гипотез о его недостатках. Гипотезы должны в обязательном порядке быть проверены экспертом.

Помимо этого, эксперт должен проверить реализацию конструкций безопасности (как минимум, идентификации, аутентификации, авторизации, разграничения доступа), так как заложенная в них логика может быть реализована не оптимальным образом. Недостатки подобного рода сканерами не отслеживаются. По этой причина комбинация автоматизированного сканирования и ручного анализа дает наиболее эффективный в плане полноты и сроков результат проверки исходного кода приложения.

Анализ исходного кода на 34 языках

Java, Java for Android, HTML5, PHP, Python, Groovy, TypeScript, Go, VBScript, Ruby, С#, C/C++, Objective-C, JavaScript, JSP, Scala, Vyper, Perl, VB.NET, Rust, Kotlin, Swift, Visual Basic, ABAP, Solidity, PL/SQL, Apex, Object Pascal, COBOL, PowerShell, Bash, VBA, ASP.NET, 1C.

Анализ файлов 10 форматов

APK (Android), IPA (Apple iOS), APP (Apple macOS), JAR/WAR/EAR/AAR (Java/Scala), DLL/EXE (C/C++), бинарные файлы unix.

Почему эксперты RTM Group?

1. Профиль деятельности нашей экспертной организации сосредоточен в направлении компьютерно-технической экспертизы.
2. Наши эксперты обладают большим подтвержденным опытом проведения судебных экспертиз (сведения об опыте и подготовке обязательно указываются в информационном письме для суда).
3. Эксперты RTM Group проходят регулярные обучения, обладают российскими и международными сертификатами по широкому перечню значимых для производства компьютерно-технической экспертизы областей знаний:
   • Сети и сетевая безопасность
   • Операционные системы
   • Прикладное программное обеспечение
   • Вредоносное ПО (признаки вредоносности)
   • Системы автоматизации бизнес-процессов (1С, SAP и пр.)
   • Системы безопасности
   • Системы автоматизации производства (АСУ ТП)
   • Отечественное регулирование в IT
   • и пр.
4. В соответствии со статьей 41 № 73-ФЗ «О государственной судебно-экспертной деятельности в РФ» судебная экспертиза может производиться не только в государственных судебно-экспертных учреждениях, но и в негосударственных. Ключевым моментом является поручение производства экспертизы лицам, обладающим специальными знаниями. Данное положение законодательства является необходимым для эффективной работы судебной системы. Дело в том, что государственные судебно-экспертные учреждения не могут выполнять весь объем и все многообразие судебных экспертиз, равно как не могут соответствовать всем профильным требованиям к подготовке экспертов и обладать необходимыми статусами и лицензиями. В частности, при назначении многих судебных КТЭ судом проверяется наличие у экспертной организации отдельных лицензий, в частности:
   • Лицензия ФСТЭК России на деятельность по технической защите конфиденциальной информации
   • Лицензия ФСТЭК России на деятельность по разработке и производству средств защиты конфиденциальной информации
   • Лицензия ФСБ России на работу со средствами криптозащиты

   

   Наша экспертная организация обладает всеми указанными лицензиями.